O Fraunhofer Institute for Secure Information Technology iniciou a comercialização de uma aplicação para telefones móveis que disponibiliza uma funcionalidade superior a outras aplicações de armazenamento de passwords.
A aplicação MobileSitter armazena senhas de acesso, PIN (Personal Identification Numbers) e TAN (Transaction Authentication Numbers). Estes códigos secretos são encriptados e revelados através da introdução de uma senha de acesso master.
O perigo de armazenar senhas de acesso nestas aplicações é o de que existem métodos que um ‘hacker’ pode utilizar para obter uma senha de acesso master. Os atacantes podem tentar brute-force ou ataques a dicionários, nos quais diferentes senhas de acesso são repetidamente tentadas através de programas automaticos, refere Rachid El Khayari, investigador de segurança em sistemas móveis no Fraunhofer. Algumas aplicações de armazenamento de senhas de acesso não limitam o número de vezes que uma senha de acesso pode ser introduzida, refere.
No entanto, a aplicação MobileSitter envia sempre uma resposta independentemente da senha de acesso master que for introduzida. Se o PIN do seu cartão de débito for “5555″ mas for introduzida uma senha de acesso incorrecta, a aplicação MobileSitter irá desencriptar um valor baseado nessa senha de acesso errada, como, por exemplo, “8901.”
“Não responde à questão se a senha de acesso master está correcta ou incorrecta”, refere Rachid El Khayari.
Os atacantes não sabem se o valor devolvido é incorrecto até que tentem utilizar o cartão. Se o atacante obtiver o cartão de débito da vitima e tentar levantar dinheiro mas, repetidamente, introduzir o PIN errado, os equipamentos ATM retêm o cartão após algumas tentativas.
O utilizador autorizado da aplicação MobileSitter pode definir regras de como a informação é devolvida. Por exemplo, uma regra pode ser criada para devolver um PIN de quatro dígitos quando a informação é pedida pelo que a atacante irá acreditar que obteve o PIN, explica Rachid El Khayari.
“Quando pede um PIN e a aplicação devolve letras, o atacante sabe que a informação não é correcta”, refere.
O que é que acontece se os utilizadores autorizados do MobileSitter introduzem a senha de acesso master errada? A aplicação apresenta ao utilizador um ícone, como uma estrela vermelha, que o utilizador escolheu quando criou a sua senha de acesso master. Se a senha de acesso master for incorrecta, o utilizador irá visualizar um ícone incorrecto e terá que tentar outra vez. O atacante não conhece o ícone correcto.
O Fraunhofer comercializa directamente a aplicação MobileSitter por 9,90 euros a partir do seu site Web, apesar da organização licenciar a tecnologia, refere Rachid El Khayari.
Tags: mobilidade, Segurança, smartphones, Wireless
